#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и подробном анализе Rhadamanthys infostealer - сложной вредоносной программы, нацеленной на предприятия гостиничного сектора, в частности на отели и рестораны в Швейцарии и Соединенном Королевстве. Вредоносная программа использует передовые методы социальной инженерии, такие как электронные письма, генерируемые искусственным интеллектом, и домены с опечатками, чтобы обмануть пользователей и украсть конфиденциальную информацию. В рамках кампании используются вредоносные PDF-вложения с запутанным кодом JavaScript и PowerShell для загрузки дополнительной полезной информации и установления связи с сервером управления для утечки данных. Защитные меры, принимаемые компанией Forcepoint, направлены на смягчение угрозы, исходящей от этого скрытого инфокрада.
-----

Вредоносная программа XWorm, нацеленная на гостиничный сектор, была освещена в блоге Лидии.

Информационный агент Rhadamanthys активно атакует предприятия в Швейцарии и Великобритании, в частности отели и рестораны, используя поддельные электронные письма якобы от Booking.com.

Кампания Радаманта имеет сходство с действиями агента Tesla в 2024 году, что наводит на мысль о потенциальной связи между хакерами.

В кампании Rhadamanty использовались передовые методы социальной инженерии, в том числе подозрительные электронные письма, созданные с помощью искусственного интеллекта, и опечатки законных доменов, таких как Booking.com.

Вредоносные электронные письма содержат вложения в формате PDF, выдающие себя за поддельные счета-фактуры или предупреждающие сообщения, которые запускают вредоносные действия при открытии.

Вредоносная программа использует методы обфускации, такие как длинные имена переменных и функций, что затрудняет анализ и обнаружение.

Код PowerShell запускает загрузку дополнительных полезных файлов, размещенных в blogspot.com и облачных репозиториях.

Rhadamanthys infostealer устанавливает связь с командно-контрольным сервером и пытается извлечь конфиденциальную информацию, собрать сведения о системе и установить постоянство в системе.

Защитные меры, принимаемые Forcepoint, включают в себя идентификацию и блокировку вредоносных PDF-вложений, предотвращение перенаправлений на подозрительные URL-адреса, блокирование известных файлов-дропперов и перехват сообщений с серверов C2 для защиты клиентов от угрозы.

#ParsedReport #CompletenessLow
24-12-2024

Blogs. Hacktivist Groups: The Shadowy Links to Nation-State Agendas. Hacktivist Groups: The Shadowy Links to Nation-State Agendas

https://www.trellix.com/blogs/research/hacktivist-groups-the-shadowy-links-to-nation-state-agendas

Report completeness: Low

Actors/Campaigns:
Sandworm (motivation: hacktivism, propaganda)
Cyberarmyofrussia (motivation: hacktivism)
Xaknet (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Irgc (motivation: hacktivism)
Marnanbridge (motivation: hacktivism)
Altoufan
Amc239
Anzu_team
Byte_blitz
Cyber_cheetahs
Menelaus
Sangkancil
Mosesstaff (motivation: hacktivism)
Cyber_av3ngers (motivation: hacktivism)
Soldiers_of_solomon (motivation: hacktivism)
Blackshadow (motivation: hacktivism)
Malek_team (motivation: hacktivism)
Unc5174 (motivation: hacktivism)

Threats:
Ddosia_botnet
Blackmagic
Moneybird

Industry:
Transport, Government

Geo:
Israeli, Japanese, Iran, Yemen, Middle east, Iranians, Deus, Russian, Israel, Russia, Chinese, China, Ukraine, Ukrainian, Iranian, Palestine, Australian

CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


ChatGPT TTPs:
do not use without manual check
T1498, T1190, T1485

IOCs:
Url: 1

Soft:
Telegram, Instagram, Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в росте хактивизма, особенно в контексте того, что различные группы, связанные с национальными государствами по всему миру, совершают кибератаки в политических и социальных целях. В тексте освещается деятельность групп хактивистов из России, Ирана и Китая, их тактика, такая как DDoS-атаки, фальсификация, утечка информации и распространение пропаганды, а также их связи с государственными структурами, такими как команда Sandworm. Меняющийся ландшафт угроз, создаваемый группами хактивистов, создает риски, варьирующиеся от нарушения работы онлайн-систем до более разрушительных атак, таких как программы-вымогатели и вредоносные программы-очистители.
-----

Хактивизм - это растущая тенденция, когда хакерские методы используются в целях активизма, разрушения онлайн-систем или манипулирования ими в социальных или политических целях.

Число хактивистских групп, связанных с Россией, увеличилось, причем некоторые группы действуют независимо, поддерживая интересы России, и в то же время имеют потенциальную связь с правительством через посредников, таких как команда Sandworm.

CARR - это группа, специализирующаяся на DDoS-атаках и распространении информации, потенциально сотрудничающая с такими организациями, как XakNet и Infoccentr. Между CARR и NoName057(16) существуют тесные связи, что указывает на их связь с командой Sandworm.

NoName057(16) фокусируется на DDoS-атаках и хакерской атаке на страны, поддерживающие правительства Украины и Израиля, со связями с предыдущими администраторами CARR.

Поддерживаемые Ираном группировки хактивистов нацелены на Израиль и Соединенные Штаты с помощью атак типа "отказ в обслуживании", фальсификации, утечки информации и распространения пропаганды. Эменнет Пасаргад координирует группы хактивистов для таких организаций, как КСИР.

Moses Staff, CyberAveng3rs и Soldiers of Solomon - иранские хактивистские группировки, связанные с КСИР и занимающиеся операциями по взлому и утечке информации. Agrius, связанная с иранским MOIS, атакует израильские организации, используя программы-вымогатели и вредоносные программы-очистители.

Uteus (UNC5174) - это поддерживаемый правительством Китая брокер начального доступа, эксплуатирующий системы по всему миру с использованием эксплойтов N-day.

Группы хактивистов, связанные с национальными государствами, представляют собой динамичный ландшафт угроз, способный перейти от традиционных атак к более разрушительным формам, таким как программы-вымогатели и вредоносные программы-очистители.

#ParsedReport #CompletenessMedium
24-12-2024

ICS Threat Analysis: New, Experimental Malware Can Kill Engineering Processes

https://www.forescout.com/blog/ics-threat-analysis-new-experimental-malware-can-kill-engineering-processes

Report completeness: Medium

Actors/Campaigns:
Chaya_002

Threats:
Ramnit
Chaya_003
Frostygoop
Aisuru
Kaiten
Bashlite
Phoenix_keylogger
Zeus
Bumblebee
Sality
Virut
Expiro
Jeefo
Neshta
Parite
Floxif
Upx_tool
Asyncrat
Wacapew

Victims:
Mitsubishi, Siemens

Industry:
Ics, Iot, Financial

Geo:
Belgium, Dutch, Spanish, Canada

ChatGPT TTPs:
do not use without manual check
T1105, T1082

IOCs:
Hash: 15
Domain: 5
File: 8
Command: 1
IP: 1

Soft:
Discord, curl, chatgpt, Twitter

Algorithms:
exhibit, sha256

Functions:
Win32

Win API:
CreateToolhelp32Snapshot, Process32First

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются недавние инциденты, связанные с вредоносным ПО, нацеленным на инженерные рабочие станции в среде OT/ICS, с выделением различных образцов и штаммов вредоносного ПО, таких как Chaya_003 и Ramnit. В нем подчеркивается важность безопасности OT, исследуется наличие вредоносных программ, специфичных для OT, автоматизированные ботнеты, нацеленные на устройства OT, и разрабатывается правило YARA для обнаружения вредоносных файлов. В ходе обсуждения также рассматриваются поведение и эволюция вредоносного ПО Chaya_003, рекомендации по устранению последствий и основные исходные векторы атак при инцидентах с системами OT/control.
-----

В тексте содержится подробная информация о недавних инцидентах, связанных с вредоносным ПО, нацеленным на инженерные рабочие станции в среде OT/ICS (Операционные технологии/промышленные системы управления). В нем сообщается об обнаружении различных образцов вредоносного ПО, таких как test.exe, Isass.exe и elsass.exe, отправленных из Бельгии, а также о новом штамме вредоносного ПО под названием Chaya_003, который способен прерывать технологические процессы Siemens.

Анализ выявил постоянный поток вредоносных программ OT/ICS с акцентом на инциденты, связанные с рабочими станциями Mitsubishi и Siemens engineering, зараженными червем Ramnit. Кроме того, в тексте указывается на существование вредоносных программ, специфичных для OT, таких как FrostyGoop и BUSTLEBERM, что подчеркивает важность обеспечения безопасности OT, учитывая распространенность вредоносных программ, нацеленных на рабочие станции инженеров.

В ходе исследования были выявлены семейства автоматизированных ботнетов, таких как Aisuru, Kaiten и Gafgyt, в общедоступном хранилище вредоносных программ VirusTotal. Эти ботнеты обычно используют учетные данные устройств OT по умолчанию для получения первоначального доступа или предоставления инструкций по удалению конфиденциальных данных из каталогов. В отчете Института SANS отмечается, что подключенные устройства являются одним из основных первоначальных векторов атак при инцидентах с системами OT/control, а компрометация инженерных рабочих станций занимает четвертое место по распространенности.

Кроме того, в тексте обсуждается разработка правила YARA для обнаружения потенциально вредоносных файлов, предназначенных для взаимодействия с инженерным программным обеспечением. С помощью этого правила были выявлены совпадения для артефактов Phoenix Contact, Mitsubishi и Siemens, при этом особое внимание было уделено двум кластерам Ramnit, заражающим рабочие станции инженеров. Вредоносная программа Ramnit, изначально являвшаяся банковским трояном, превратилась в модульную платформу, способную выполнять различные вредоносные действия, включая удаленный рабочий стол и захват скриншотов.

Дальнейшие находки раскрывают поведение и эволюцию вредоносного кластера Chaya_003, который использует инфраструктуру C2 с использованием веб-узлов Discord для разведки системы и нарушения процессов. В тексте приводятся указания разработчиков на местоположение и детали инфраструктуры, что указывает на потенциальную связь с известными вредоносными действиями.

Что касается смягчения последствий, в тексте рекомендуются такие рекомендации, как предотвращение прямого доступа инженерных рабочих станций к Интернету, правильное сегментирование сетей, ограничение сетевых подключений разрешенными устройствами и внедрение решений мониторинга для обнаружения вредоносных индикаторов.

#ParsedReport #CompletenessHigh
25-12-2024

DarkVision RAT: A Persistent Threat Delivered via PureCrypter

https://socradar.io/darkvision-rat-a-threat-delivered-via-purecrypter

Report completeness: High

Threats:
Darkvisionrat
Purecryptor
Process_injection_technique

Industry:
Financial, Healthcare, Government

TTPs:
Tactics: 1
Technics: 6

IOCs:
Hash: 3
Url: 1
Domain: 1

Soft:
Windows Defender, Windows Registry

Win API:
NtMapViewOfSection, NtCreateSection

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа DarkVision RAT, распространяемая с помощью загрузчика PureCrypter, представляет серьезную угрозу для организаций в различных секторах, предоставляя злоумышленникам широкие возможности удаленного доступа и используя сложные методы обфускации, чтобы избежать обнаружения. Для защиты от этой угрозы организациям рекомендуется применять строгие меры безопасности, усиливать защиту конечных устройств и активно отслеживать подозрительные действия и изменения в реестре. В случае заражения следует незамедлительно предпринять действия по устранению неполадок, уделяя особое внимание использованию системных журналов, средств обнаружения конечных точек и постоянному мониторингу для эффективной борьбы с DarkVision RAT и подобными угрозами. Использование таких решений, как SOCRadar, может помочь в обнаружении подобных кампаний и реагировании на них, повысив общую безопасность и защищенность от продвинутых хакеров.
-----

Вредоносная программа DarkVision RAT, использующая загрузчик PureCrypter, представляет серьезную угрозу для организаций в различных секторах, таких как финансы, здравоохранение и правительство. Эта сложная атака распространяется с помощью фишинга и использует передовые методы обфускации, чтобы избежать обнаружения. DarkVision RAT предоставляет злоумышленникам удаленный доступ к скомпрометированным системам, позволяя выполнять такие действия, как ведение кейлогга, захват экрана и аудио, манипулирование системными процессами и изменение записей реестра для обеспечения сохраняемости.

DarkVision RAT, распространяемый через PureCrypter, запускает цепочку заражения, расшифровывая и запуская вредоносное ПО через загрузчик. Этот троянец, известный своей способностью избегать обнаружения, использует такие тактические приемы, как вызовы API, внедрение процессов и маскировку под законные задачи. Командная и управляющая связь вредоносного ПО осуществляется через нестандартные порты, что затрудняет обнаружение его присутствия в стандартных конфигурациях брандмауэра. Организациям настоятельно рекомендуется использовать платформу SOCRadar XTI для изучения раздела "Кампании", чтобы собрать информацию о DarkVision RAT и аналогичных угрозах, подчеркивая важность упреждающих мер безопасности.

Чтобы защититься от DarkVision RAT, организации должны применять строгие меры безопасности, укреплять защиту конечных устройств и постоянно отслеживать подозрительные действия и изменения в реестре. Реализация следующих стратегий снижения рисков может помочь организациям помешать распространению DarkVision RAT и значительно снизить риски компрометации. Эти стратегии нацелены на наиболее часто применяемую тактику DarkVision RAT, подчеркивая проактивный подход к кибербезопасности.

В случае заражения систем DarkVision RAT организации должны незамедлительно предпринять действия по исправлению ситуации, чтобы обнаружить и уничтожить вредоносное ПО. Подчеркивая важность системных журналов, средств обнаружения конечных точек и постоянного мониторинга, организации могут эффективно устранить DarkVision RAT. Сохранение бдительности и принятие ключевых мер по устранению неполадок имеет решающее значение для смягчения последствий этой вредоносной кампании.

Кампания DarkVision RAT служит суровым напоминанием о серьезной угрозе, которую представляют продвинутые трояны для удаленного доступа, передаваемые через загрузчики, такие как PureCrypter. Благодаря широкому спектру возможностей, включая кейлоггинг, захват видео и внедрение процессов, DarkVision RAT позволяет хакерам получить значительный контроль над скомпрометированными системами. Для борьбы с этими угрозами необходим комплексный подход, включающий защиту конечных точек, внесение приложений в белый список и мониторинг в режиме реального времени. Использование передовых решений, таких как SOCRadar, может помочь организациям выявлять кампании, подобные DarkVision RAT, и реагировать на них, тем самым укрепляя их общую систему безопасности и защищая от изощренных хакеров.

#ParsedReport #CompletenessMedium
25-12-2024

Androxgh0st Malware: Unmasking the Silent Threat to Cloud and Web Security

https://www.picussecurity.com/resource/blog/androxgh0st-malware-cloud-web-security-threat

Report completeness: Medium

Actors/Campaigns:
Duke
Fox_kitten
Andariel

Threats:
Androxgh0st
Credential_harvesting_technique
Spear-phishing_technique
Ransomhub

Industry:
Military, Critical_infrastructure

Geo:
Iranian, North korean, Russian

CVEs:
CVE-2021-41773 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http server (2.4.49)

CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)

CVE-2024-0012 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-38063 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2018-15133 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel (le5.5.40, le5.6.29)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit project phpunit (le4.8.27, <5.6.3)


TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 4

Soft:
Laravel, Office 365, SendGrid, Microsoft Office 365, PHPUnit, Apache Struts, curl

Algorithms:
exhibit, base64

Functions:
CreateUser, DeleteAccessKey, AWS, GetSendQuota

Languages:
python, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
25-12-2024

OilRig Exposed: Unveiling the Tools and Techniques of APT34

https://www.picussecurity.com/resource/blog/oilrig-exposed-tools-techniques-apt34

Report completeness: High

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Duke
Fox_kitten
Andariel

Threats:
Spear-phishing_technique
Quadagent
Ismagent
Supply_chain_technique
Stealhook_tool
Lazagne_tool
Credential_dumping_technique
Dumplsass_tool
Mimikatz_tool
Putty_tool
Keypunch
Longwatch
Dns_tunneling_technique
Plink_tool
Ransomhub

Victims:
Saudi arabian organizations, Governmental bodies, Technology services provider, Energy and oil industries, Telecommunications providers, Critical infrastructure

Industry:
Petroleum, Telco, Critical_infrastructure, Military, Energy, Government

Geo:
Middle east, Iranian, Iran, Saudi arabian, Saudi, Russian, North korean

CVEs:
CVE-2024-9474 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.1.14, <10.2.12, <11.0.6, <11.1.5, <11.2.4)

CVE-2024-47575 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimanager (<6.2.13, <6.4.15, <7.0.13, <7.2.8, <7.4.5)
- fortinet fortimanager cloud (le6.4.7, <7.0.13, <7.2.8, <7.4.5)

CVE-2024-38063 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...
CVE-2024-0012 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.12, <11.0.6, <11.1.5, <11.2.4)


TTPs:
Tactics: 12
Technics: 17

IOCs:
File: 4
Hash: 5

Soft:
Windows Kernel, Microsoft Exchange

Crypto:
ripple

Algorithms:
base64

Languages:
powershell, visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Androxgh0st, вредоносная программа на базе Python, обнаруженная в апреле 2022 года, представляет серьезную угрозу кибербезопасности, поскольку нацелена на уязвимости в платформах веб-разработки для осуществления таких действий, как кража данных, майнинг криптовалют и несанкционированное использование системных ресурсов. Вредоносная программа демонстрирует техническую изощренность, используя специфические уязвимости и применяя методы обхода для скрытой работы в скомпрометированных системах. Ее тактика, методы и процедуры (TTP) тесно связаны со структурой MITRE ATT&CK, что затрудняет обнаружение и смягчение последствий для специалистов по кибербезопасности. Для эффективной борьбы с Androxgh0st организациям рекомендуется внедрять различные меры безопасности, такие как мониторинг HTTP-запросов, применение исправлений безопасности и проведение регулярных аудитов безопасности.
-----

Androxgh0st, вредоносная программа на базе Python, впервые обнаруженная в апреле 2022 года, быстро превратилась в серьезную угрозу в сфере кибербезопасности. Он нацелен на уязвимости в популярных платформах веб-разработки, таких как Laravel, для удаленного выполнения кода, извлечения конфиденциальных учетных данных и доступа к файлам .env, содержащим важные переменные среды для облачных сервисов, таких как AWS, Office 365, SendGrid и Twilio. Формируя ботнеты и используя бреши в системе безопасности, Androxgh0st позволяет осуществлять такие действия, как кража данных, майнинг криптовалют и несанкционированное использование системных ресурсов.

Это вредоносное ПО демонстрирует техническую изощренность, используя специфические уязвимости, такие как уязвимость PHPUnit (CVE-2017-9841), уязвимость платформы Laravel (CVE-2018-15133) и уязвимость HTTP-сервера Apache (CVE-2021-41773), для получения несанкционированного доступа и выполнения произвольного кода. Конструкция Androxgh0st обеспечивает плавную масштабируемость и эффективное сканирование уязвимых сетей, в частности, нацеленное на env-файлы для сбора учетных данных.

Androxgh0st использует такие методы уклонения, как использование законных учетных данных, запутывание скриптов, развертывание веб-оболочек, использование известных уязвимостей, динамическое манипулирование инфраструктурой и использование ботнета для распределенных действий, таких как DDoS-атаки или криптомайнинг. Такая тактика позволяет вредоносному ПО скрытно действовать в скомпрометированных системах, что затрудняет обнаружение и устранение последствий для специалистов по кибербезопасности.

Тактика, методы и процедуры вредоносного ПО (TTP) хорошо согласуются с платформой MITRE ATT&CK и охватывают такие действия, как масштабные операции сканирования, использование уязвимостей, автоматизация разведки с помощью ботнета, использование скомпрометированных учетных данных AWS и использование сценариев Python для вредоносных операций. Androxgh0st поддерживает постоянство, используя сохраненные учетные данные, устанавливая веб-оболочки и создавая новые учетные записи пользователей в облачных средах с использованием скомпрометированных учетных данных AWS.

Для эффективного обнаружения и устранения вредоносного ПО Androxgh0st организациям рекомендуется отслеживать HTTP-запросы, анализировать строки пользовательского агента, просматривать журналы доступа, применять исправления безопасности, ограничивать доступ к конфиденциальным файлам, отключать режимы отладки, удалять жестко запрограммированные учетные данные, проводить регулярные проверки безопасности и отслеживать исходящие запросы на файлообменники. Внедряя эти стратегии, организации могут усилить свою защиту от Androxgh0st и снизить связанные с этим риски.

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте дается подробное представление о деятельности спонсируемых государством хакеров OilRig, также известных как APT34 и Helix Kitten, освещаются их изощренные операции по кибершпионажу на Ближнем Востоке, нацеленные на правительство, технологические службы, энергетический сектор и критически важную инфраструктуру. Эволюция тактики группы, использование продвинутых бэкдоров, эксплуатация уязвимостей и эффективный обход механизмов обнаружения представляют значительную угрозу для организаций. Рекомендации по защите от атак OilRig включают определение приоритетности критических исправлений, внедрение виртуальных исправлений, регулярное сканирование уязвимостей, развертывание инструментов EDR и совершенствование мер обнаружения, основанных на поведении.
-----

OilRig, также известный как APT34 и Helix Kitten, является изощренным и настойчивым хакером, спонсируемым государством, работающим в интересах иранского государства.

Группа в основном действует на Ближнем Востоке, занимаясь кибершпионажем в государственном секторе, сфере технологических услуг и энергетике.

OilRig развила свою тактику от кампаний подводной охоты до передовых методов, таких как бэкдоры QUADAGENT и ISMAgent, демонстрируя постоянную адаптацию к обходным механизмам обнаружения.

Хакер нацелился на критически важные секторы, такие как государственные учреждения, энергетическая промышленность, телекоммуникационные провайдеры и критически важная инфраструктура на Ближнем Востоке.

Стратегическое использование OilRig таких бэкдоров, как Helminth и QUADAGENT, наряду с использованием уязвимостей, таких как CVE-2024-30088, демонстрирует их мастерство в проведении скрытных операций.

Недавние кампании группы используют уязвимости с повышением привилегий, внедряя пользовательские вредоносные программы, такие как бэкдор STEALHOOK, для мониторинга и извлечения данных.

OilRig использует шифрование, обфускацию и кодировку base64, чтобы оставаться скрытым в каналах связи и избегать обнаружения системами безопасности.

Группа использует полный набор тактик, методов и процедур (TTP), таких как использование скомпрометированных учетных данных, языки сценариев, такие как PowerShell и Visual Basic, и инструменты кейлоггинга для сбора учетных данных.

Организациям рекомендуется определить приоритетность критических исправлений, внедрить виртуальное исправление ошибок, провести сканирование уязвимостей, внедрить инструменты EDR и усовершенствовать меры обнаружения, основанные на поведении, для эффективной защиты от атак OilRig.

#technique

Self-spreading Java malware targeting Minecraft servers. Infected servers are capable of scanning for other vulnerable servers, encrypting Minecraft worlds, and phishing players who connect.

https://github.com/blackmassgroup/minegrief

#ParsedReport #CompletenessLow
26-12-2024

Dark Web Profile: Trinity Ransomware

https://socradar.io/dark-web-profile-trinity-ransomware

Report completeness: Low

Threats:
Trinity_ransomware
Trinitylock
Venus_ransomware
2023lock
Zeoticus
Goodgame
Venus_locker
Shadow_copies_delete_technique

Victims:
Healthcare, Technology, Public sector, Manufacturing, Legal, Financial services, Construction, Business services

Industry:
E-commerce, Critical_infrastructure, Healthcare

Geo:
Usa, America, Kyrgyzstan, Russian, Belarus, Spain, Russia, Canada

TTPs:
Tactics: 1
Technics: 7

IOCs:
File: 3

Algorithms:
curve25519, exhibit, chacha20, poly1305, xsalsa20, xchacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обзоре различных вариантов программ-вымогателей - Trinity, Zeoticus, Venus и 2023Lock - с описанием их тактики, методов шифрования, происхождения, механизмов нацеливания и влияния на различные отрасли и страны. Эти разновидности программ-вымогателей используют передовые методы шифрования, тактику двойного вымогательства и модели "Программы-вымогатели как услуга" (RaaS), нацеленные на жертв в различных секторах с основной целью получения выкупа в криптовалюте в строго установленные сроки.
-----

Программа-вымогатель Trinity появилась в мае 2024 года и быстро стала заметной угрозой в сфере кибербезопасности благодаря использованию тактики двойного вымогательства. Помимо шифрования файлов жертв с помощью алгоритма шифрования ChaCha20 и добавления расширения ".trinitylock", Trinity также осуществляет эксфильтрацию конфиденциальных данных, чтобы оказывать давление на цели с целью удовлетворения требований о выкупе, угрожая публичным разоблачением. Считается, что эта программа-вымогатель является ребрендингом более ранних версий, таких как Venus и 2023Lock, которые относятся к семейству программ-вымогателей Zeoticus благодаря общим характеристикам в функциональности и технологиях.

Программа-вымогатель Zeoticus, которая считается предшественницей нескольких шифровальщиков, таких как Venus, 2023Lock и TrinityLock, работает по модели "Программа-вымогатель как услуга" (RaaS). В нем используются сложные методы шифрования, включая алгоритм XChaCha20 и комбинаторный алгоритм curve25519xsalsa20poly1305. Zeoticus 2.0, усовершенствованная версия, появившаяся в сентябре 2020 года, обеспечивает более быстрое шифрование с помощью гибридных симметричных и асимметричных методов, которые могут быть нацелены на удаленные диски и предотвращать процессы вмешательства. Механизмы таргетинга исключают русскоязычные регионы, что указывает на возможное происхождение из России.

Программа-вымогатель Venus, автономный файлообменник, продаваемый на подпольных рынках, использует общие соединения с программой-вымогателем Zeoticus и использует открытые сервисы протокола удаленного рабочего стола (RDP) для первоначального доступа. Не путать с VenusLocker, Venus нацелен на жертв без разбора и использует процессы, препятствующие восстановлению, такие как удаление теневых копий томов и отключение средств защиты. У него нет специального сайта для утечек, вместо этого он использует электронную почту.

Программа-вымогатель 2023Lock, продолжая традицию шифрования Zeoticus и Zeoticus 2.0, добавляет расширение ".2023lock" к зашифрованным файлам и оставляет записки с требованием выкупа, в которых жертвам предлагается получить доступ к веб-сайту Onion для связи с хакером. Этот вариант очень похож на TrinityLock, выступая в качестве его бета-версии.

Программа-вымогатель Trinity использует многогранный подход для заражения систем, распространения через фишинговые электронные письма, вредоносные веб-сайты или уязвимости в программном обеспечении. Вредоносная программа оптимизирует процессы шифрования, повышает привилегии, сканирует сети, перемещается в стороны и извлекает данные, прежде чем потребовать выкуп в криптовалюте в течение 24 часов. Жертвы, которые не выполняют требования, рискуют получить доступ к данным на общедоступном сайте утечки. Три основные отрасли, на которые нацелена программа-вымогатель Trinity, - это здравоохранение, технологии и ряд других отраслей, демонстрирующих ее широкое влияние на различные отрасли. США, Канада и Испания - три основные страны, на которые нацелена программа-вымогатель Trinity, с акцентом на развитые страны из-за потенциально более высоких выплат выкупа.